Una misura di sicurezza che prevede la protezione di cartelle specifiche il cui accesso è consentito solamente ad applicazioni presenti in una whitelist
La build 16232 di Windows 10 che Microsoft ha rilasciato sul canale insider nel corso della giornata di ieri e della quale abbiamo dato notizia qui, contiene alcune nuove funzionalità di sicurezza per l'irrobustimento generale del sistema contro le più recenti minacce, tra le quali una che si propone nello specifico di cercare di limitare i danni che possono conseguire dalla compromissione del sistema da parte di un ransomware.
I meccanismi di protezione dei file messi in atto dai sistemi operativi si basano da anni su una combinazione di proprietà e permessi di accesso. In quei sistemi che sono usati da più utenti questo approccio rappresenta un modo abbastanza efficace per ridurre l'incidenza di problemi: un utente non può accedere (o può accedere solo limitatamente) a file di proprietà di un altro utente che opera sullo stesso sistema. E' lo stesso approccio che ha mostrato anche una certa efficacia per proteggere il sistema operativo dall'utente stesso, grazie appunto al meccanismo di permessi e privilegi.
Con l'avvento della piaga dei ransomware il contesto è però mutato pesantemente, cambiando i connotati della minaccia: in questo caso infatti il pericolo non è rappresentato da un altro utente che modifica i file cifrandoli, ma da un programma che opera sotto l'identità dell'utente e che potrà modificare tutti i file che sono accessibili all'identita dello stesso utente. In altri termini il ransomware può leggere e scrivere gli stessi file che l'utente può leggere e scrivere.
Partendo da questa considerazione Microsoft ha elaborato la funzionalità Controlled Folder Access che rientra sotto il cappello di Windows Defender. Il principio di funzionamento di questa nuova funzionalità è quella di configurare alcune cartelle per essere protette e accessibili solamente dalle app presenti in una whitelist: tutti i tentativi di accesso da parte di app non autorizzate verrebbero quindi bloccati da Defender. Allo scopo di ridurre le necessità di gestione e mantenimento della funzionalità, alcune applicazioni saranno messe automaticamente nella whitelist. Microsoft non specifica esattamente quali app, ma è ragionevole supporre che le app dello Store saranno automaticamente inserite con i dovuti permessi.
In linea teorica un approccio di questo tipo dovrebbe andare a limitare la capacità di un ransomware di cifrare i dati degli utenti, ma sul versante pratico la reale efficacia di queste misure dipenderà dalla solidità di Controller Folder Access. Perché ciò funzioni effettivamente sarà necessario, ad esempio, che la funzionalità impedisca a macro di Word o Excel di accedere ad una cartella protetta anche se l'applicazione da cui esse dipendono è nella whitelist. Nel caso in cui un ransomware possa trovare una strada per "delegare" il lavoro sporco ad un'altra applicazione in whitelist, l'efficacia delle nuove misure verrà di fatto neutralizzata. L'esempio delle macro di Word non è casuale, in quanto nei giorni scorsi è stata data una dimostrazione della possibilità di compromettere il nuovo sistema operativo Windows 10S tramite questi meccanismi.
Trattandosi di una build rilasciata sul canale insider, tutte le funzionalità sono da considerarsi in forma di beta, quindi in fase di test e valutazione, e pertanto potrebbero non essere mai rilasciate all'utente finale.
http://www.hwupgrade.it/news/sicurezza-software/
windows-10-build-16232-integra-una-funzionalita-specifica-contro-i-ransomware_69696.html